[ ウイルス/マルウェア活動の受付: Lynx ランサムウェア ]

Lynxランサムウェアの形で推定される侵害事故が発生し、
これに該当状況の確認および注意報を次のように伝えます。

Lynxランサムウェア

このランサムウェアはLynxと呼ばれ、ファイル名.拡張子.LYNXすべてのファイルを変更している様子を見せています。

仕組み

ファイルバージョン

[図1 ランサムウェア実行ファイルコンパイラ情報]

[図2ウィンドウ属性のファイル情報]

ランサムウェア動作の特徴

• C++ ベースのランサムウェアとして冗長な Mutex を使用し、GetLogicalDrives を利用して、一般ドライブや外部デバイスおよびネットワークドライバも攻撃します。特異的に攻撃行為動作中、「Program Files」（x64/x86 すべて）フォルダの位置に「microsoft sql server」を探す追加行為が含まれています。攻撃が完了したら、OpenPrinterを使用して利用可能なすべてのターゲットにプリンタコマンドを発行します。

  
  [図3 ドライブを確認するコードおよびMS文書上のGetDriveTypeの説明]

  
  [図4 Tempフォルダに画像を生成する内部コードおよび生成された画像]

  
  [図5 攻撃行為後にプリンタコマンドを出す関連コード]

感染結果

ガイドファイルは、各フォルダの場所に<README.txt>という名前で作成され、暗号化が行われた各ファイルは<ファイル名.拡張子.Lynx>に変更されます。

[図6感染結果]

ホワイトディフェンダー対応

ホワイトディフェンダーランサムウェアの悪意のある行為やブロックの前に暗号化が行われるファイルに対してもリアルタイムで自動復元をサポートします。

[図7ブロックメッセージ]

Lynxブロックビデオを見に行く